2022年1月21日12:37
ヤフー(Yahoo! JAPAN)は、ネットオークションサービス「ヤフオク!」、フリマアプリ「PayPayフリマ」において、不正決済対策を強化し、AIを搭載した独自開発の不正検知システムと人の目により、クレジットカードの不正利用による決済額を2019年から約60%削減したと発表した。
不正決済とは、クレジットカードや銀行口座残高、保有ポイントが第三者に使用されることだ。代表的な手口として、盗難クレジットカードの使用や、乗っ取ったアカウントにひも付いているクレジットカード情報での決済が挙げられる。
「ヤフオク!」や「PayPayフリマ」を含めたYahoo! JAPANのコマースサービスでは、AIを搭載した独自開発の不正決済を検知するシステムを導入している。不正決済が発覚した場合、Yahoo! JAPANはオークション情報やユーザー情報などを分析し、不正決済の傾向を把握する。この傾向をもとに、特徴をルールとして検知システムに登録していき、出品や落札、決済といったアクションがあった際、このルールを参照して不正判定する。
また、並行して審査チームでは24時間365日体制でパトロールを実施している。審査チームによるパトロールで懸念があったものは、クレジッドカード会社に照会を実施して、本人による利用なのかを確認することで、不正決済を防いでいる。
さらに、日々変化する不正決済手段に対応するため、ルールの判定結果や審査チームの審査結果等のログデータを蓄積、分析しているそうだ。
ヤフーでは、不正決済の傾向変化により対応できるよう機械学習モデルを活用している。検知システムで検知された際の不正判定のログデータを機械学習でスコアリングして、指定スコア以上を不正と判定するようなルールを作成しているそうだ。また機械学習モデルは、パトロールや審査の対応者の感覚を見える化するためにも活用されていて、システムで不正判定された商品タイトルを機械学習し、スコア化している。スコアを日々チーム内で共有することで、対応者の経験年数などによる感覚のばらつきをなくすことにつなげているという。
なお、不正決済に使われた情報をその後Yahoo! JAPANの決済サービスで利用できないようにブラックリストとして登録することに加え、第三者がYahoo! JAPAN IDを乗っ取り、Yahoo! JAPAN IDに紐づいたクレジットカードで決済を行うといった被害を抑止するための、乗っ取り対策も強化しているとした。
具体的には、乗っ取り対策として、パスワードを使わないログイン=パスワードレス認証を推奨している。Yahoo! JAPANでは、「パスワードレス認証」にSMS認証と生体認証を採用している。
SMS認証とは、ユーザーがウェブサイト上でIDや携帯電話番号を入力後、保有するスマートフォンなどのSMSに対して送られた番号を入力すればログインができるという仕組みのことだ。SMSに対して送られた番号は有効期限が決まっており、また、1回のログイン時のみ有効となる。生体認証は、スマートフォンやPCに搭載された指紋・顔認証機能を使ってログインする方法だ。
加えて、乗っ取り対策の一環として、2020年2月から定期的に長期間利用がないYahoo! JAPAN IDの利用停止措置を実施している。長期間利用がないIDは、不正アクセスを受けても気づきにくいため、不正に利用される危険性が高くなるためだとした。
■2月10日無料セミナー「ペイメントカード・セキュリティフォーラム2022」で
ヤフー コマースインフラ本部 安全対策部 部長 藤田智子氏がクレジットカード不正利用対策を紹介